新闻快讯
< >

俄罗斯黑客组织APT28频繁利用“热点新闻事件”发起DDE攻击

E安全11月12日讯 美国网络安全公司McAfee的安全研究人员最近发现一起鱼叉式网络钓鱼电子邮件活动,利用10.31纽约曼哈顿恐袭事件,通过DDE技术攻击目标。McAfee表示,这起行动似乎是臭名昭著的俄罗斯黑客组织APT28所为。

俄罗斯黑客组织APT28频繁利用“热点新闻事件”发起DDE攻击-E安全

APT28(又名 Sofacy、Fancy Bear 、Tsar Team、Pawn Storm、Strontium、Sednit),其主要针对境外国家的航空航天,以及私营部门展开攻击活动。

瞄准德国和法国军事人员有何目的?

自10月下旬以来,APT28使用DDE漏洞已在发起攻击,目前发现的目标包括德国和法国,APT28诱骗目标点击美国新闻事件有关的文件名:《美国陆军在东欧举行的军演SabreGuardian,以及10.31纽约曼哈顿恐袭事件》。

McAfee高级威胁研究小组资深分析师Ryan Sherstobitoff (赖安谢尔·斯特比特沃夫)表示APT28最近可能设计了恶意电子邮件,并发送给了德国和法国的军事人员。他们通过获取的遥测数据发现,APT28瞄准欧洲的目标,尤其是法国和德国。

这并非APT28首次精心策划电子邮件中利用公开新闻事件诱骗目标点击、下载或执行其它操作。上个月,思科Talos研究团队的分析师揭露称,APT28利用华盛顿即将举行的安全会议相关新闻针对性地攻击特定目标。

Sherstobitoff表示,利用地缘政治事件提升恶意文件的打开率,正是APT28组织的策略,希望以此增加成功几率。

俄罗斯黑客组织APT28频繁利用“热点新闻事件”发起DDE攻击-E安全

利用“DDE攻击”规避检测

McAfee近期发现APT28发送的电子邮件很特别,采用了难以检测的技术——“DDE攻击”,该技术利用Microsoft Office的动态数据交换机制(DDE)在受害者系统上执行任意代码,而无需借助宏。网络安全公司SensePost 10月初公开披露了这种攻击方法,自此之后,多个犯罪组织和情报收集型黑客将这种技术与自己的Payload相结合。

Sherstobitoff表示,这是APT28逃避检测的又一条途径。在这起案例中,APT28发送包含陷阱Word文档的电子邮件。电子邮件和Word文档均提及纽约10月31日发生的恐怖袭击。如果这份文档被下载,之后它会立即秘密创建一个连接,返回到攻击者的命令与控制服务器,这个服务器之后会向目标设备提供第一阶段的探测Implant。

McAfee指出,虽然纽约恐怖袭击发生在10月31日,但此起间谍活动的策划活动至少在一周以前就已经开始,因为托管恶意软件的域名注册时间为10月25日,文档本身的时间戳为10月27日。11月1日,恶意文档被重命名。

目前尚不清楚恐怖袭击发生前的邮件主题,但值得注意的是,APT28正在频繁利用新闻大事件。

相关阅读:

Office DDE攻击对Outlook同样有效

乌克兰:“坏兔子”勒索攻击幕后黑手是俄罗斯APT28
黑客组织 APT28 欲在 Flash 零日漏洞修复前发动网络攻击活动
FireEye:APT28曾攻击黑山政府,黑客影响外国政治进程
俄黑客组织APT28被指入侵法国大选首轮胜出者马克龙
网络黑客组织APT28攻击国际田联
芬兰情报局报告: APT28明目张胆实施间谍活动
德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击
源自APT28 复杂的iPhone恶意软件Xagent开始攻击Mac

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。